Dévoiler le piège de phishing par signature Permit2 d'Uniswap
Les hackers ont toujours été une des plus grandes craintes de l'écosystème Web3. Pour les projets, la nature open source du code les rend prudents lors du développement, de peur de laisser des vulnérabilités de sécurité. Pour les utilisateurs individuels, chaque interaction ou signature sur la chaîne peut entraîner le vol d'actifs, et ne pas comprendre la signification des opérations est encore plus dangereux. Par conséquent, les problèmes de sécurité ont toujours été l'un des problèmes les plus épineux dans le monde de la cryptographie. En raison de l'irréversibilité de la blockchain, les actifs volés sont pratiquement impossibles à récupérer, ce qui souligne encore plus l'importance des connaissances en matière de sécurité.
Récemment, une nouvelle méthode de phishing a commencé à se répandre, nécessitant simplement une signature pour entraîner le vol d'actifs. Cette méthode est extrêmement discrète et difficile à prévenir, et toutes les adresses ayant interagi avec Uniswap pourraient être à risque. Cet article présentera en détail cette méthode de phishing par signature, afin de réduire les pertes d'actifs pour davantage d'utilisateurs.
déroulement des événements
Récemment, un ami (, que nous appellerons petit A ), a vu les actifs de son portefeuille volés. Contrairement aux méthodes de vol courantes, petit A n'a pas divulgué sa clé privée et n'a pas interagi avec des contrats suspects. Grâce à l'explorateur de blockchain, on peut voir que les USDT dans le portefeuille de petit A ont été transférés via la fonction Transfer From. Cela signifie qu'une adresse tierce a opéré pour déplacer les tokens, et non qu'il y a eu une fuite de la clé privée du portefeuille.
Détails de la transaction :
L'adresse se terminant par fd51 a transféré les actifs de petit A à l'adresse se terminant par a0c8.
Cette opération interagit avec le contrat Permit2 d'une certaine plateforme de trading.
La question clé est : comment l'adresse se terminant par fd51 a-t-elle obtenu les droits sur cet actif ? Pourquoi cela est-il lié à une plateforme de trading ?
Une enquête plus approfondie a révélé qu'avant le transfert des actifs de A, l'adresse se terminant par fd51 avait également effectué une opération de Permit, et que les deux opérations interagissaient avec le contrat Permit2 d'une plateforme de trading.
Le contrat Permit2 est un nouveau contrat intelligent lancé par une plateforme de trading à la fin de 2022. Il permet l'autorisation des jetons pour être partagés et gérés entre différentes applications, visant à créer une expérience utilisateur plus unifiée, plus rentable et plus sécurisée. Avec l'intégration de plus de projets au Permit2, il pourrait normaliser l'approbation des jetons dans toutes les applications, améliorant l'expérience utilisateur en réduisant les coûts de transaction tout en augmentant la sécurité des contrats intelligents.
L'apparition de Permit2 pourrait changer les règles du jeu dans l'écosystème Dapp. De manière traditionnelle, les utilisateurs doivent autoriser séparément chaque interaction avec un Dapp. Cependant, Permit2 peut éliminer cette étape, réduisant ainsi les coûts d'interaction pour les utilisateurs et offrant une meilleure expérience. En tant qu'intermédiaire entre les utilisateurs et les Dapp, les utilisateurs n'ont qu'à accorder les droits de Token au contrat Permit2, et tous les Dapp intégrant ce contrat peuvent partager ce quota d'autorisation.
Cependant, Permit2 est aussi une arme à double tranchant. Il transforme les opérations des utilisateurs en signatures hors chaîne, toutes les opérations sur chaîne étant effectuées par un acteur intermédiaire. Cela permet aux utilisateurs d'utiliser d'autres jetons pour payer les frais de gas, même si leur portefeuille ne contient pas d'ETH, ou d'être remboursés par l'acteur intermédiaire. Mais la signature hors chaîne est aussi l'étape où les utilisateurs sont les plus susceptibles de faire des erreurs ; la plupart des gens ne vérifient pas attentivement le contenu de la signature, ce qui est précisément le point le plus dangereux.
méthode de pêche reproduite
Pour déclencher cette phishing de signature Permit2, la condition clé est que le portefeuille ciblé doit avoir déjà autorisé le Token au contrat Permit2 d'une plateforme d'échange. Actuellement, il est nécessaire d'autoriser le contrat Permit2 chaque fois que vous effectuez un Swap sur un Dapp ou une plateforme d'échange intégrée à Permit2.
Ce qui est encore plus effrayant, c'est que peu importe le montant de l'échange, le contrat Permit2 d'une certaine plateforme de trading autorise par défaut l'utilisateur à autoriser le solde total de ce Token. Bien que le portefeuille propose une saisie personnalisée du montant, la plupart des gens choisiront directement le maximum ou la valeur par défaut, et la valeur par défaut de Permit2 est un montant illimité.
Cela signifie que tant que vous avez interagi avec une plateforme de trading après 2023 et autorisé le contrat Permit2, vous pourriez être confronté à ce risque de piège.
Le cœur du problème réside dans la fonction Permit, qui permet de transférer le montant de Token autorisé au contrat Permit2 à d'autres adresses. Les hackers n'ont besoin que d'obtenir la signature de l'utilisateur pour accéder aux droits sur les Tokens dans le portefeuille de l'utilisateur et transférer des actifs.
mesures de prévention
Comprendre et identifier le contenu de la signature : apprendre à reconnaître le format de la signature Permit, qui comprend des informations clés telles que Owner, Spender, value, nonce et deadline. L'utilisation d'un plugin de sécurité peut aider à l'identification.
Séparer le stockage des actifs et le portefeuille d'interaction : conserver une grande quantité d'actifs dans un portefeuille froid, le portefeuille d'interaction ne conserve qu'une petite quantité de fonds, ce qui peut réduire considérablement les pertes en cas de phishing.
Limiter le montant d'autorisation ou annuler l'autorisation : lors d'un Swap sur une plateforme d'échange, n'autorisez que le montant nécessaire à l'interaction. Bien que le fait de devoir réautoriser à chaque fois augmente les coûts, cela permet d'éviter les risques de phishing liés à la signature Permit2. Les utilisateurs autorisés peuvent annuler l'autorisation via un plugin de sécurité.
Identifier si le token prend en charge la fonction permit : faire attention à savoir si le token détenu prend en charge cette fonction, et être particulièrement prudent lors des transactions avec les tokens pris en charge, en vérifiant soigneusement chaque signature inconnue.
Établir un plan de sauvetage des actifs bien conçu : si des tokens existent encore sur d'autres plateformes après avoir été victime d'un骗局, il est nécessaire de retirer et de transférer avec prudence. Les hackers peuvent surveiller à tout moment le solde de votre adresse, et dès qu'un token apparaît, ils peuvent le transférer. Envisagez d'utiliser un transfert MEV ou de demander l'aide d'une équipe de sécurité professionnelle.
Avec l'élargissement du champ d'application de Permit2, les pêchages basés sur celui-ci pourraient devenir de plus en plus fréquents. Cette méthode de phishing par signature est extrêmement discrète et difficile à prévenir, et de plus en plus d'adresses seront exposées à des risques. J'espère que les lecteurs pourront transmettre ces informations à d'autres pour éviter que davantage de personnes ne subissent des pertes.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
12 J'aime
Récompense
12
3
Partager
Commentaire
0/400
CryptoGoldmine
· 07-28 16:06
Les données l'emportent sur les débats, un rendement d'investissement de 155% en un an.
Voir l'originalRépondre0
SocialAnxietyStaker
· 07-28 16:03
Encore une fois, se faire prendre pour des cons. C'est tragique.
Nouvelle escroquerie de phishing par signature Permit2 d'Uniswap : quatre mesures de prévention pour la sécurité des actifs.
Dévoiler le piège de phishing par signature Permit2 d'Uniswap
Les hackers ont toujours été une des plus grandes craintes de l'écosystème Web3. Pour les projets, la nature open source du code les rend prudents lors du développement, de peur de laisser des vulnérabilités de sécurité. Pour les utilisateurs individuels, chaque interaction ou signature sur la chaîne peut entraîner le vol d'actifs, et ne pas comprendre la signification des opérations est encore plus dangereux. Par conséquent, les problèmes de sécurité ont toujours été l'un des problèmes les plus épineux dans le monde de la cryptographie. En raison de l'irréversibilité de la blockchain, les actifs volés sont pratiquement impossibles à récupérer, ce qui souligne encore plus l'importance des connaissances en matière de sécurité.
Récemment, une nouvelle méthode de phishing a commencé à se répandre, nécessitant simplement une signature pour entraîner le vol d'actifs. Cette méthode est extrêmement discrète et difficile à prévenir, et toutes les adresses ayant interagi avec Uniswap pourraient être à risque. Cet article présentera en détail cette méthode de phishing par signature, afin de réduire les pertes d'actifs pour davantage d'utilisateurs.
déroulement des événements
Récemment, un ami (, que nous appellerons petit A ), a vu les actifs de son portefeuille volés. Contrairement aux méthodes de vol courantes, petit A n'a pas divulgué sa clé privée et n'a pas interagi avec des contrats suspects. Grâce à l'explorateur de blockchain, on peut voir que les USDT dans le portefeuille de petit A ont été transférés via la fonction Transfer From. Cela signifie qu'une adresse tierce a opéré pour déplacer les tokens, et non qu'il y a eu une fuite de la clé privée du portefeuille.
Détails de la transaction :
La question clé est : comment l'adresse se terminant par fd51 a-t-elle obtenu les droits sur cet actif ? Pourquoi cela est-il lié à une plateforme de trading ?
Une enquête plus approfondie a révélé qu'avant le transfert des actifs de A, l'adresse se terminant par fd51 avait également effectué une opération de Permit, et que les deux opérations interagissaient avec le contrat Permit2 d'une plateforme de trading.
Le contrat Permit2 est un nouveau contrat intelligent lancé par une plateforme de trading à la fin de 2022. Il permet l'autorisation des jetons pour être partagés et gérés entre différentes applications, visant à créer une expérience utilisateur plus unifiée, plus rentable et plus sécurisée. Avec l'intégration de plus de projets au Permit2, il pourrait normaliser l'approbation des jetons dans toutes les applications, améliorant l'expérience utilisateur en réduisant les coûts de transaction tout en augmentant la sécurité des contrats intelligents.
L'apparition de Permit2 pourrait changer les règles du jeu dans l'écosystème Dapp. De manière traditionnelle, les utilisateurs doivent autoriser séparément chaque interaction avec un Dapp. Cependant, Permit2 peut éliminer cette étape, réduisant ainsi les coûts d'interaction pour les utilisateurs et offrant une meilleure expérience. En tant qu'intermédiaire entre les utilisateurs et les Dapp, les utilisateurs n'ont qu'à accorder les droits de Token au contrat Permit2, et tous les Dapp intégrant ce contrat peuvent partager ce quota d'autorisation.
Cependant, Permit2 est aussi une arme à double tranchant. Il transforme les opérations des utilisateurs en signatures hors chaîne, toutes les opérations sur chaîne étant effectuées par un acteur intermédiaire. Cela permet aux utilisateurs d'utiliser d'autres jetons pour payer les frais de gas, même si leur portefeuille ne contient pas d'ETH, ou d'être remboursés par l'acteur intermédiaire. Mais la signature hors chaîne est aussi l'étape où les utilisateurs sont les plus susceptibles de faire des erreurs ; la plupart des gens ne vérifient pas attentivement le contenu de la signature, ce qui est précisément le point le plus dangereux.
méthode de pêche reproduite
Pour déclencher cette phishing de signature Permit2, la condition clé est que le portefeuille ciblé doit avoir déjà autorisé le Token au contrat Permit2 d'une plateforme d'échange. Actuellement, il est nécessaire d'autoriser le contrat Permit2 chaque fois que vous effectuez un Swap sur un Dapp ou une plateforme d'échange intégrée à Permit2.
Ce qui est encore plus effrayant, c'est que peu importe le montant de l'échange, le contrat Permit2 d'une certaine plateforme de trading autorise par défaut l'utilisateur à autoriser le solde total de ce Token. Bien que le portefeuille propose une saisie personnalisée du montant, la plupart des gens choisiront directement le maximum ou la valeur par défaut, et la valeur par défaut de Permit2 est un montant illimité.
Cela signifie que tant que vous avez interagi avec une plateforme de trading après 2023 et autorisé le contrat Permit2, vous pourriez être confronté à ce risque de piège.
Le cœur du problème réside dans la fonction Permit, qui permet de transférer le montant de Token autorisé au contrat Permit2 à d'autres adresses. Les hackers n'ont besoin que d'obtenir la signature de l'utilisateur pour accéder aux droits sur les Tokens dans le portefeuille de l'utilisateur et transférer des actifs.
mesures de prévention
Séparer le stockage des actifs et le portefeuille d'interaction : conserver une grande quantité d'actifs dans un portefeuille froid, le portefeuille d'interaction ne conserve qu'une petite quantité de fonds, ce qui peut réduire considérablement les pertes en cas de phishing.
Limiter le montant d'autorisation ou annuler l'autorisation : lors d'un Swap sur une plateforme d'échange, n'autorisez que le montant nécessaire à l'interaction. Bien que le fait de devoir réautoriser à chaque fois augmente les coûts, cela permet d'éviter les risques de phishing liés à la signature Permit2. Les utilisateurs autorisés peuvent annuler l'autorisation via un plugin de sécurité.
Identifier si le token prend en charge la fonction permit : faire attention à savoir si le token détenu prend en charge cette fonction, et être particulièrement prudent lors des transactions avec les tokens pris en charge, en vérifiant soigneusement chaque signature inconnue.
Établir un plan de sauvetage des actifs bien conçu : si des tokens existent encore sur d'autres plateformes après avoir été victime d'un骗局, il est nécessaire de retirer et de transférer avec prudence. Les hackers peuvent surveiller à tout moment le solde de votre adresse, et dès qu'un token apparaît, ils peuvent le transférer. Envisagez d'utiliser un transfert MEV ou de demander l'aide d'une équipe de sécurité professionnelle.
Avec l'élargissement du champ d'application de Permit2, les pêchages basés sur celui-ci pourraient devenir de plus en plus fréquents. Cette méthode de phishing par signature est extrêmement discrète et difficile à prévenir, et de plus en plus d'adresses seront exposées à des risques. J'espère que les lecteurs pourront transmettre ces informations à d'autres pour éviter que davantage de personnes ne subissent des pertes.